美文网首页
创建私有CA和申请证书

创建私有CA和申请证书

作者: fengkaipeng | 来源:发表于2017-07-16 19:27 被阅读209次

    为什么要申请证书,因为发送数据的一方不确定建立连接的另一方是不是假冒的,这个时候就只能通过一个权威的第三方,验证确认对方的身份。这个第三方就是CA,证书颁发机构,他的证书一般会在操作系统安装时就已经内置到系统中了。这里以网站为例,具体流程为网站方发送自己的证书申请文件给CA,包含自己的私钥和公钥,然后

    创建私有CA

    创建CA需要根据openssl的配置文件来指定存放的路径,这个文件为/etc/pki/tls/openssl.cnf,打开文件,这里只列出和创建CA有关的内容:

    [ ca ]
    default_ca      = CA_default            # 使用哪个默认的证书区域,意思就是使用下边这个CA_default默认为CA的配置
    
    [ CA_default ]
    
    dir             = /etc/pki/CA           # 根目录,就是下面的$dir
    certs           = $dir/certs            # 证书位置
    crl_dir         = $dir/crl              # 吊销证书的位置
    database        = $dir/index.txt        # 库索引文件位置
    #unique_subject = no                    
    new_certs_dir   = $dir/newcerts         # 新证书文件位置,这个是创建证书后系统自动生成的,和创建的证书文件一样
    certificate     = $dir/cacert.pem       # CA自签名证书存放位置
    serial          = $dir/serial           # 下一个证书的序号,会自动生成一个old文件,放的之前那个证书的序号
    crlnumber       = $dir/crlnumber        # 下一个吊销证书的序号
    crl             = $dir/crl.pem          # 
    private_key     = $dir/private/cakey.pem       #私钥文件存放位置 
    ...
    policy          = policy_match      #指定的策略(就是选择下边两个策略中的哪一个,也可以自己写一份策略,然后这里用新写的策略名字)
    
    # 这里match表示申请方和CA发放方内容必须匹配,而optional就表示可以不同
    [ policy_match ]                                     #创建私有证书的默认配置模板
    countryName             = match               #国家
    stateOrProvinceName     = match        #省份
    organizationName        = match           #公司机构
    organizationalUnitName  = optional     #部门
    commonName              = supplied       #用户名
    emailAddress            = optional           #邮箱
    
    [ policy_anything ]                            #创建公共证书的默认配置模板
    countryName             = optional
    stateOrProvinceName     = optional
    localityName            = optional
    organizationName        = optional
    organizationalUnitName  = optional
    commonName              = supplied
    emailAddress            = optional
    
    

    步骤:

    • 1.生成证书索引数据库文件
      [root@feng ~]# touch /etc/pki/CA/index.txt
    • 2.生成证书序列号文件,指定第一个序号为01(这里序号必须为2位数,所以要写01)
      [root@feng ~]# echo 01 > /etc/pki/CA/serial
    • 3.生成私钥,这里使用小括号,生成子进程,先写上umak,这样就可以将生成的文件权限设为600,创建完文件后子进程生命周期结束,不影响shell的umask。
    [root@feng ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
    Generating RSA private key, 2048 bit long modulus
    ...+++
    ...................................+++
    e is 65537 (0x10001)
    
    • 4.创建自签名证书,输入如下命令
    [root@feng ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
    

    命令中的几个参数:

    • -new: 生成新证书签署请求 
      
    • -x509: 专用于CA生成自签证书
    • -key: 生成请求时用到的私钥文件
    • -days n:证书的有效期限
    • -out /PATH/TO/SOMECERTFILE: 证书的保存路径

    输入命令后就会进入交互式界面 ,注意配置文件中设置的match的选项,申请人的信息和CA的必须一样。

    Country Name (2 letter code) [XX]:CN     #选择国家,只能写两个字符   
    State or Province Name (full name) []:henan   #选择省
    Locality Name (eg, city) [Default City]:zhengzhou    #城市
    Organization Name (eg, company) [Default CompanyLtd]:magedu.com    #公司
    Organizational Unit Name (eg, section) []:IT    #部门
    Common Name (eg, your name or your server's hostname) []:magedu   #姓名或者服务名主机名等
    Email Address []:123@123     #邮箱
    

    申请证书

    在服务端创建完成私有CA后,客户端就可以生成私钥并申请证书了(私钥放置的位置不是固定的,生成证书申请文件能找到路径就行)如下:

    • 1.生成私钥
    [root@localhost ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/test.key 2048)
    Generating RSA private key, 2048bit long modulus
    ...............................+++
    ....................................................
    +++e is 65537 (0x10001)
    
    • 2.生成证书申请文件
    [root@localhost ~]# openssl req -new -key /etc/pki/CA/private/test.key -out /etc/pki/tls/test.csr
    #进入交互式界面,配置match的项必须和CA填写一致
    Country Name (2 letter code) [XX]:CN
    State or Province Name (full name) []:henan
    Locality Name (eg, city) [Default City]:zhengzhou
    Organization Name (eg, company) [Default Company Ltd]:magedu.com
    Organizational Unit Name (eg, section) []:IT
    Common Name (eg, your name or your server's hostname) []:magedu
    Email Address []:123@123
    A challenge password []:1234   #设置一个密码
    
    • 3.将证书请求文件传给CA
    [root@localhost ~]# scp /etc/pki/tls/test.csrroot@192.168.0.234:/tmp
    

    CA签署证书

    • 1.在CA服务端上根据客户端上传的证书请求文件,签署证书:
    [root@feng ~]# openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 365
    

    两次确认后,生成成功,然后将签发的证书传给申请端,就可以使用了。

    相关文章

      网友评论

          本文标题:创建私有CA和申请证书

          本文链接:https://www.haomeiwen.com/subject/stfxkxtx.html